Una de las tendencias que ha traído el confinamiento es el teletrabajo. Son muchas las empresas que han adoptado esta práctica como sistema habitual de trabajo tras vivir las consecuencias de la pandemia. Pero el establecer como base de todo trabajo el Internet of Things puede traer algunos problemas relacionados con la ciberseguridad. Es por ello que una solución integral para la gestión de la IO como parte de los planes de crecimiento de las organizaciones también debe incorporar el establecimiento de prácticas óptimas para avanzar con seguridad.

 

Internet of Things permite una fuerza de trabajo distribuida

IoT ofrece capacidades únicas a medida que las organizaciones trasladan sus fuerzas de trabajo fuera de sus instalaciones. Ya se trate de tecnologías médicas o de fabricación, los dispositivos conectados permiten a las organizaciones supervisar y gestionar las operaciones de misión crítica. En este sentido, desde IoT Business News informan de que los dispositivos de supervisión remota permiten a los fabricantes supervisar y gestionar el rendimiento de los activos a distancia, y a los profesionales médicos supervisar los signos vitales de los pacientes sin estar junto a la cama. Así, podemos entender que estos dispositivos tienen el potencial de reemplazar los procesos en persona mientras los trabajadores permanecen a distancia para proteger su salud física.

 

Entonces, ¿qué riesgos presenta Internet of Things?

Principalmente, el sistema carece de un conjunto de pautas de seguridad cohesivas, por lo que los dispositivos son más difíciles de proteger. Sus bajos niveles de potencia de procesamiento y memoria socavan los controles de seguridad como la encriptación. Simultáneamente, en los primeros días de la fabricación de dispositivos para IO os diseñadores y desarrolladores rara vez pensaron en insertar protecciones de seguridad, lo que llevó a problemas de seguridad como la necesidad de actualizaciones manuales de seguridad o la incorporación de contraseñas predeterminadas que muchos usuarios no pueden cambiar.

 

Establecimiento de una tolerancia al riesgo de IoT

El pasado mes de Mayo la Fundación para la Seguridad de Internet de las Cosas (IoTSF) publicó la segunda versión de su Marco de Cumplimiento de Seguridad de IoT. Según la Fundación, las organizaciones deben adoptar un enfoque basado en el riesgo para la seguridad de la IO creando «clases de cumplimiento» y sopesando los objetivos de seguridad de confidencialidad, integridad y disponibilidad. 

Al igual que con cualquier marco de cumplimiento de seguridad, las organizaciones deben mirar primero a su nivel de riesgo y tolerancia. Por ello hay que determinar la «clase de cumplimiento» de una organización en el marco de la IO, lo que significa examinar los diversos riesgos potenciales incorporados en la pila de IO.

Según el IoTSCF, las organizaciones pueden considerar las siguientes sugerencias como parte de su entorno de tolerancia al riesgo.

  • Clase 0: Riesgo bajo o «básico» para la confidencialidad, integridad y disponibilidad.
  • Clase 1: Riesgo básico para la confidencialidad, riesgo medio para la integridad y la disponibilidad.
  • Clase 2: Riesgo medio para la confidencialidad e integridad, riesgo alto para la disponibilidad.
  • Clase 3: Alto riesgo para la confidencialidad y la disponibilidad, riesgo medio para la integridad.
  • Clase 4: Alto riesgo para la confidencialidad, integridad y disponibilidad.
Relacionado:  Jornada Técnica sobre Instalaciones Seguras y Sostenibles

Además, desde IOTSCF pretenden ampliar el máximo abanico de defensas en temas de seguridad, por lo que ofrecen orientación a través de clases de cumplimiento. Estas clases se basan en los siguientes puntos:

  • Tener un miembro de la organización interna que posea y sea responsable de supervisar la seguridad.
  • Asegurarse de que esta persona se adhiere al proceso de la lista de verificación de cumplimiento.
  • Establecer una política para interactuar con investigadores de seguridad internos y de terceros.
  • Establecer procesos para informar a los altos ejecutivos en caso de que el dispositivo IO lleve a un incidente de seguridad.
  • Garantizar un proceso de notificación seguro para notificar a los socios/usuarios.
  • Incorporar eventos de seguridad de IO y basados en IO como parte de la Política de Seguridad.

Por otro lado, desde la perspectiva del hardware y el software, desde la fundación marcan las siguientes sugerencias:

  • Asegurarse de que el sistema procesador del producto tiene un proceso de arranque seguro irrevocable de hardware.
  • Habilitar el proceso de arranque seguro por defecto.
  • Asegurarse de que el producto impide la posibilidad de cargar software y archivos no autentificados.
  • Asegurarse de que los dispositivos que soportan actualizaciones de software remoto incorporan la capacidad de firmar digitalmente imágenes de software.
  • Asegurarse de que los paquetes de actualización de software tengan firmas digitales, certificados de firma y verificaciones de la cadena de certificados de firma antes de instalar la actualización.
  • Establecer controles de acceso restringido apropiados para las claves de firma de los programas de producción.
  • Aclarar las condiciones y el período de apoyo de reemplazo si los dispositivos carecen de actualizaciones de software.
  • Evitar que los mecanismos de actualización interfieran con las expectativas de rendimiento en tiempo real.
  • Permitir sólo una actualización local por parte del usuario físicamente presente cuando los dispositivos no pueden verificar la autenticidad de las actualizaciones por sí mismos.
  • Establecer políticas de fin de vida con plazos mínimos especificados para las actualizaciones de apoyo y las razones para terminar el período de apoyo.
  • Asegurarse de que todas las posibles actualizaciones de software se empujen durante un período de tiempo apropiado para el dispositivo.

Funcionalmente, estos requisitos mínimos en todas las clases de cumplimiento se alinean con los controles de seguridad tradicionales utilizados en el nivel de TI de la empresa. Sin embargo, a medida que las organizaciones se embarcan en dispositivos de IO más complejos para reducir las tareas manuales y sus costos operativos asociados, deben tener un propósito al considerar su riesgo y la capacidad de cumplir con estos requisitos mínimos.

COMPARTIR